题目-高速网路试验室.PPTVIP

校園網路攻防實驗 指導教授：李忠憲教授 團隊成員：江啟賓、游順雄、郭奕 岑 報告人：江啟賓 * 摘要 為了減少校園網路的安全威脅，我們在Testbed平台上模擬校園網路的拓撲，並在其上進行八種網路攻防實驗，像是DDoS、Sniffer等。進行網路的攻防實驗並從中找出校園網路可能遭遇的風險，給與防範上的建議，我們的實驗報告可增加校園管理者及使用者對校園網路安全的認知，以期減少人為疏失所造成的傷害。 基於建立實驗之便利性，我們盡可能的用ns script將八種攻擊實驗場景的建立自動化，以方便攻防實驗的進行。 * 研究架構 校園網路實驗拓樸一 校園網路實驗拓樸二 * 研究架構 (續) Wireshark實驗拓樸 實驗自動化程度 遭遇到的困難 連到Apache上的IP連線數無法有效的控制 實驗建議及防禦策略 定期清理log檔和實現NAT的技術，降低Web Server被攻陷的機會。 攻擊類別 實驗心得 運行平台 自動化程度 DDoS 攻擊端電腦個數不低於3 Linux 半自動 網頁伺服器攻擊 同一IP連線數應加以限制 Linux 半自動 郵件炸彈 不易使信箱容量過載 Windows 建立拓樸 釣魚網頁 Ie7以上版本攻擊失效 Windows 建立拓樸 Wireshark 關鍵在於網路中放置的位置 Windows 建立拓樸 IP spoofing Sp2以上版本攻擊失效 Windows 建立拓樸 Hijacking 通常只能針對個人擷取連線 Windows 建立拓樸 惡意程式 只能以被動的方式來攻擊 Windows 建立拓樸 * 成果 我們將實驗步驟、軟體操作及實驗結果統整成一份技術報告，對同樣欲在校園網路進行安全攻擊實驗的人員，是非常方便的，不僅如此也可以參考我們的校園架構來架設安全實驗用的網路拓樸。 從我們提出各項的實驗結論，可提昇一般校園網路使用者的安全知識。 網路攻防實驗自動化後，可增加實驗進行的效率，減少實驗進行的困難度。 影片demo 運行平台-Linux 範例：網頁伺服器攻擊(slowloris) 運行平台-Windows範例：郵件炸彈 * * 結論 我們已完成本年度預計完成的攻防實驗，並且記載了使用軟體、攻擊步驟、所需攻擊環境及實驗進行時會遭遇到的困難。 我們針對此計畫所進行的校園網路攻擊實驗，提出對應防禦對策，我們提出的防禦對策不是只對該攻擊有效，依照我們的防禦對策可以全面提昇網路安全等級 在研究初期我們即根據現行校園網路的架構，建立我們實驗所使用的網路拓樸架構，下面二張圖是依照我們設計的網路拓樸架構於Testbed@TWISC中建置完成的圖形。爾後我們在其上進行大部份的攻防實驗，就連套件化時所用的拓樸也都是以此為依據 * 另外我們依據wireshark的特性額外設計一個拓樸如下圖，由於上述兩個拓樸的區域網路中的任一台電腦無法透過wireshark來進行監聽，因此需改成左圖。 除此之外，我們也設計了專門為了進行DNS Cache Poisoning攻擊實驗的架構，該實驗主要是因為此實驗架構需以DNS階層式架構為主，請參考右圖。 * 在研究初期我們即根據現行校園網路的架構，建立我們實驗所使用的網路拓樸架構，下面二張圖是依照我們設計的網路拓樸架構於Testbed@TWISC中建置完成的圖形。爾後我們在其上進行大部份的攻防實驗，就連套件化時所用的拓樸也都是以此為依據 * 另外我們依據wireshark的特性額外設計一個拓樸如下圖，由於上述兩個拓樸的區域網路中的任一台電腦無法透過wireshark來進行監聽，因此需改成左圖。 除此之外，我們也設計了專門為了進行DNS Cache Poisoning攻擊實驗的架構，該實驗主要是因為此實驗架構需以DNS階層式架構為主，請參考右圖。 *